محمد بختیاری

هکرها می‌توانند بدافزارها را حتی در فایل گزارش رویداد ویندوز مخفی کنند

گزارش رویداد ویندوز در تشخیص مشکلات امنیتی رایانه‌های شخصی به کاربران کمک می‌کند؛ بااین‌حال، محققان کسپرسکی با هکری مواجه شده‌اند که از گزارش رویداد علیه هدف خود استفاده کرده است.

به‌گزارش Techspot، هفته‌ی گذشته کسپرسکی تجزیه‌وتحلیل مفصلی از حمله‌ی پیچیده‌ای منتشر کرد که پاییز گذشته آغاز شد. این روش شامل ترکیبی از تکنیک‌ها و نرم‌افزارهای مختلف بود؛ اما محققان امنیتی این شرکت استفاده از گزارش رویدادهای ویندوز را به‌عنوان چیزی کاملاً جدید برجسته کردند.

در مرحله‌ای از کمپین هک، شخص مهاجم کد پوسته را در گزارش رویدادهای ویندوز هدف وارد کرد. این روش ذخیره‌‌‌ی بدافزار کاملاً مخفیانه است؛ زیرا هیچ فایلی برای شناسایی آنتی‌ویروس باقی نمی‌گذارد.

مخفی کردن بدافزار در گزارش رویداد ویندوز

مقاله‌های مرتبط:

همچنین، این کمپین شامل مجموعه‌ی بزرگی از نرم‌افزارهای تجاری و خانگی بود. این مورد شامل ربودن فایل DLL، یک تروجان، پوشش‌های ضدتشخیص، تقلید دامنه‌ی وب و… بود. مهاجم در این روش حتی برخی از نرم‌افزارهای سفارشی خود را شخصا امضا کرد تا قانونی‌تر به‌نظر برسد.

مقیاس و منحصر‌به‌فرد بودن حمله نشان می‌دهد برای سیستم هدف خاصی طراحی شده است. اولین مرحله شامل مهندسی اجتماعی بود که در آن، مهاجم قربانی را متقاعد کرد که فایلی rar را از وب‌سایت اشتراک‌گذاری فایل قانونی File.io دانلود و اجرا کند.

کسپرسکی نتوانست این حمله را به هیچ مظنون شناخته‌‌شده‌ای ارتباط دهد یا هدف نهایی آن را تعیین کند. بااین‌حال، محققان به BleepingComputer اعلام کردند حملات مشابه معمولاً با هدف گرفتن داده‌های ارزشمند قربانی انجام می‌شوند.

پاسخی بنویسید